Kybernetické útoky a podvody Inteligentní detekce a obrana
David Matějů
Senior System Engineer RSA, The Security Divison of EMC
[email protected]
© Copyright 2012 EMC Corporation. All rights reserved.
1
Moderní kybernetické útoky a podvody Doba se změnila: základní bezpečnost nestačí • Každý má firewall – ale pokročilý útočník se stejně vždy dostane dovnitř • Každý má antivir - ale zero-day malware stejně vždy projde • Každý má systém detekce incidentů – ale pokročilé průniky jsou většinou zcela nedetekovány (nebo pozdě) • Nejen IDS, často i „klasický“ SIEM Začíná to u uživatelů – každý si říká: • „Já přeci poznám podvod, já jim nenaletím …“
© Copyright 2012 EMC Corporation. All rights reserved.
2
Agenda Kybernetické útoky a podvody (fraudy) • Aktuální příklady • Trendy
Jaké je řešení? • Poznat a zastavit „ŠMEJDY“ (inteligentní bezpečnost)
Jak vám může pomoci RSA: • • • •
Security Analytics, Silver Tail, ECAT Aveksa, Adaptivní Autentizace Anti-Fraud services: FraudAction, CyberCrime Intelligence Archer eGRC
© Copyright 2012 EMC Corporation. All rights reserved.
3
© Copyright 2012 EMC Corporation. All rights reserved.
4
© Copyright 2012 EMC Corporation. All rights reserved.
5
© Copyright 2012 EMC Corporation. All rights reserved.
6
© Copyright 2012 EMC Corporation. All rights reserved.
7
© Copyright 2012 EMC Corporation. All rights reserved.
8
Jak ty ŠMEJDY poznat? (útoky, fraudy, malware, …) Nikomu nemůžete věřit, kdo je kdo • Útočníci jsou „uvnitř“ … • Aktiva jsou „venku“ (vaši zákazníci, zaměstnanci, data, …) • Nejslabší článek: člověk …
Jak detekovat a zastavovat útoky „venku v internetu“? • Phishing, Malware, trojani, falešné mobilní aplikace, …
Jak detekovat a zastavovat útoky a fraudy na vašem webu? • Portál, E-banking, E-obchod, E-health, E-government, …
Jak detekovat a zastavovat útoky uvnitř ve firmě? • Špionáž, hacking, DDoS, neoprávněné přístupy a změny, úniky dat, malware, botnety, spam, …
© Copyright 2012 EMC Corporation. All rights reserved.
9
Řešením je „Inteligentní bezpečnost“ Prioritizovat podle rizikovosti • Je zbytečné prověřovat všechny „podezřelé aktivity“ – musíte si umět vybrat ty, které by vás nejvíce ohrozily • Znát hodnotu chráněných aktiv, znát akceptovatelnou úroveň rizika, …
Sledovat chování, vidět všechny drobné detaily, poznat „šmejdy“ • Útočníci a podvodníci jsou velmi nenápadní (snaží se), ale chovají se jinak • Sledovat chování všech uživatelů, rozumět kontextu (co je normální) a automaticky detekovat anomálie • Vidět všechny drobné detaily pro případnou hloubkovou investigaci a automatizovat návazné reakce
Flexibilní a adaptivní bezpečnostní opatření • „neotravovat slušné lidi“ (otevřít jim dveře), a přitom chytit „šmejdy“ (zamknout před nimi) • Spolupracovat s ostatními, znát kontext (interní i externí) • Automatizovaně využívat maximum aktuálně dostupných znalostí
© Copyright 2012 EMC Corporation. All rights reserved.
10
Intelligence-Driven Security Risk-based, contextual, and agile
Risk Intelligence
thorough understanding of risk to prioritize activity
Advanced Analytics provide context and
visibility to detect threats
Adaptive Controls
adjusted dynamically based on risk and threat level
Information Sharing actionable intel from trusted sources and COIs
© Copyright 2012 EMC Corporation. All rights reserved.
11
Security Management Identity and Access Management Fraud Prevention Governance, Risk & Compliance
Big Data
© Copyright 2012 EMC Corporation. All rights reserved.
Transforms Security
12
© Copyright 2012 EMC Corporation. All rights reserved.
13
© Copyright 2012 EMC Corporation. All rights reserved.
14
© Copyright 2012 EMC Corporation. All rights reserved.
15
© Copyright 2012 EMC Corporation. All rights reserved.
16
© Copyright 2012 EMC Corporation. All rights reserved.
17
Šmejdi se chovají jinak než my ... • • • •
Velocity Page Sequence Origin Contextual Information
© Copyright 2012 EMC Corporation. All rights reserved.
18
... a RSA SilverTail to moc dobře vidí
© Copyright 2012 EMC Corporation. All rights reserved.
19
© Copyright 2012 EMC Corporation. All rights reserved.
20
Security Analytics Enrichment Data
Logs
Packets
DISTRIBUTED COLLECTION
EUROPE
THE ANALYTICS
NORTH AMERICA
REAL-TIME ASIA
Reporting and Alerting
Complex Event Processing
Investigation
Free Text Speech
Malware Analytics
Correlation
Administration
Metadata Tagging
WAREHOUSE
Incident Management
Asset Criticality
Compliance
LONG-TERM
LIVE INTELLIGENCE
Threat Intelligence – Rules – Parsers – Alerts – Feeds – Apps – Directory Services – Reports and Custom Actions
EMC CONFIDENTIAL—INTERNAL USE ONLY
21
Security Analytics – Alerts Dashboard
© Copyright 2012 EMC Corporation. All rights reserved.
22
© Copyright 2012 EMC Corporation. All rights reserved.
23
© Copyright 2012 EMC Corporation. All rights reserved.
24
© Copyright 2012 EMC Corporation. All rights reserved.
25
© Copyright 2012 EMC Corporation. All rights reserved.
26
RSA Aveksa řeší věčný problém s se správou uživatelských oprávnění
© Copyright 2012 EMC Corporation. All rights reserved.
27
© Copyright 2012 EMC Corporation. All rights reserved.
28
Adaptive & Risk-Based Authentication High Risk
Risk Engine
TwoFactor
Out Of Band
Challenge Q
Step Up Authentication
User Action
Proceed As Normal
Fraud Network
Device Profile User Behavior Profile
Big Data Risk Repository
© Copyright 2012 EMC Corporation. All rights reserved.
29
Adaptive & Risk-Based Authentication Risk Engine Private Cloud
User Action
User Behavior Profile
Big Data Risk Repository
© Copyright 2012 EMC Corporation. All rights reserved.
Read Email
Download Sales Pipeline
Username & Password
Additional Authentication
Out Of Band
ADAPTIVE AUTHENTICATION
Fraud Network
Device Profile
TwoAUTHENTICATIONFactor MANAGER & SECURID
Public Cloud
Access Bank Account
Transfer Funds
Username & Password
Additional Authentication
Challenge Q
30
RSA Archer eGRC Ecosystem
© Copyright 2012 EMC Corporation. All rights reserved.
31
Demo videa RSA Security Solutions (SOC Overview) • Building Advanced SOC: http://youtu.be/OH_ezYXQ7w4
RSA Security Analytics: monitoring, detekce a investigace (SIEM nové generace) • http://youtu.be/RzscmZ-UtCY
RSA Silver Tail: detekce webových fraudů • http://youtu.be/6tbVqAgIjhA
RSA ECAT: detekce malwaru uvnitř organizace • http://youtu.be/EskpKgu_4Kk
RSA Aveksa: Identity & Access Management • http://youtu.be/Fq5TYR8C50k
RSA Archer eGRC: Governance, Risk & Compliance • Governance Risk & Compliance: http://youtu.be/kmXeF-Upt1I • Archer eGRC Platform: http://youtu.be/O02FqqvnoFI
RSA FraudAction: zastavit Phishing, Trojany, falešné mobilní aplikace • http://youtu.be/M16brUhzJ6o
© Copyright 2012 EMC Corporation. All rights reserved.
32
Shrnutí • Pokročilé kybernetické útoky a šmejdy se starými nástroji ani neuvidíte (nepoznáte) • Prevence je minulost (stejně jako perimetr) • Je potřeba se více soustředit na detekci a reakci • Umět vybírat nejcennější aktiva (prioritizovat) • Detekci je nutné rozšířit i na fáze přípravy útoku • Okamžité sdílení informací je nezbytné
© Copyright 2012 EMC Corporation. All rights reserved.
33
RSA Archer Security Analytics RSAIntelligence Security Analytics + RSA ECAT RSA Live +for RSA Security Analytics RSA Security + RSA Archer for Security RSA Data Discovery/RSA DLP Team & + Shift Management
Open/All Source Actor Attribution KPI Monitoring Tier 2 Analyst Attack Sensing & Warning CLICK FOR DETAILS Incident Queue Management Social Media Tier 1 Analyst Reporting & Business Impact CLICK FOR DETAILS High Value Target (HVT) Analysis Eyes-on-Glass Reverse Malware Engineering Integration Event Triage Host & Development Network Forensic Content Preliminary Investigation Threat Intelligence Analyst Cause & Origin Determination CLICK FOR DETAILS Reporting Incident Containment Dataand Exfiltration Evaluation Alert Rule Creation 24x7 Coverage
© Copyright 2012 EMC Corporation. All rights reserved.
Analysis & Tools Support Analyst CLICK FOR DETAILS
SOC Manager
CLICK FOR DETAILS
34